Springe zum Hauptinhalt

2009-11: NAT bringt keine Sicherheit

Es gibt meh­re­re Va­ri­a­n­ten von NAT und auch meh­re­re Na­men da­für (z.B: PAT – Port Ad­dress Trans­la­ti­o­n). Bei mei­nen Aus­füh­run­gen hier be­zie­he ich mich aus­schließ­lich auf das so­ge­nann­te „dy­na­mi­sche NAT“. Denn die an­de­ren Va­ri­a­n­ten – ins­be­son­de­re sta­ti­sches NAT, al­so die di­rek­te 1:1­-­Um­set­zung von Adres­sen/­Ports – bie­ten noch we­ni­ger Si­cher­heit.

Wo­her kommt al­so die ver­brei­te­te Mei­nung, dass NAT zur Si­cher­heit ei­nes Netz­wer­kes bei­träg­t? Oder bes­ser ge­sag­t, vor wel­chen Ri­si­ken mei­nen die­se „Si­cher­heits­ex­per­ten­“, dass NAT über­haupt schüt­zen soll­te?

NAT verursacht zwei Dinge:

Ers­tens ver­hin­dert NAT, dass je­mand von au­ßen die Struk­tur ei­nes in­ter­nen Net­zes er­kennt. Doch es stellt sich un­ter dem Si­cher­heits­a­spekt die Fra­ge: In­wie­fern ist die To­po­lo­gie Ih­res Net­zes für einen An­grei­fer über­haupt wich­tig? Was hat ein An­grei­fer da­von, wenn er die To­po­lo­gie Ih­res Net­zes kennt? Und hät­ten Sie kein NAT, kä­me ein An­grei­fer dann wirk­lich so ein­fach an die In­for­ma­ti­o­nen zur Netz­to­po­lo­gie? Der Auf­wand ist auch oh­ne NAT da­für näm­lich ziem­lich groß – al­so viel Auf­wand für we­nig Nut­zen.

Aber neh­men wir den­noch mal an, die To­po­lo­gie Ih­res Net­zes wä­re höchst ver­trau­lich. Ist NAT dann wirk­lich das rich­ti­ge Mit­tel, die­se In­for­ma­ti­on zu schüt­zen? Ich be­haup­te: Nein, NAT ist da­für un­zu­rei­chen­d. Denn In­for­ma­ti­o­nen über die To­po­lo­gie Ih­res Net­zes kön­nen auch durch vie­le Sei­ten­ka­nä­le si­ckern. Am deut­lichs­ten wird dies in Mail­hea­dern.

Zum zwei­ten Punk­t, der oft als Ar­gu­ment für NAT an­ge­führt wird: Es er­schwert es NAT ei­nem An­grei­fer, ins Netz ein­zu­drin­gen: Dies ver­hin­dert näm­lich die Sta­tus­-­Ta­bel­le, die der Rou­ter für dy­na­mi­sches NAT be­nö­tig­t. Sie funk­tio­niert ähn­lich der State Ta­ble ei­ner Fi­re­wall, die un­be­kann­te Pa­ke­te nicht durch­läss­t. Da je­doch heut­zu­ta­ge je­der bil­li­ge WAN­-­Rou­ter ei­ne State­full Fire­wall ein­ge­baut hat – die mehr leis­tet –, ist NAT für die­sen Zweck ein­fach un­nö­tig.

So­weit zum an­ge­gli­chen Si­cher­heits­ge­winn durch NAT. Da­ge­gen steht, dass man für die­ses ge­rin­ge Mehr an Ver­trau­lich­keit mit NAT bei der Au­then­ti­zi­tät, der Sta­bi­li­tät und der Ver­füg­bar­keit In Kauf nimm­t. Denn NAT ist und bleibt ei­ne Not­lö­sung, ein Hack. Ei­ne gan­ze Rei­he wich­ti­ger Pro­to­kol­le ha­ben Pro­ble­me mit NAT: FT­P, SIP, H.323, IP­Sec. Um die­se Pro­to­kol­le über­haupt mit NAT nut­zen zu kön­nen, braucht es kom­ple­xe Soft­wa­re, bei IP­Sec so­gar einen auf­wän­di­ge Er­wei­te­rung wie NAT­-­Tra­ver­sa­l. Zwar ist für die ge­nann­ten Pro­to­kol­le das NAT­-­Pro­blem be­reits ge­löst, aber bei zu­künf­ti­gen Pro­to­kol­len wer­den Ent­wick­ler und Ad­mi­nis­tra­to­ren wie­der mit NAT zu kämp­fen ha­ben.

Sei­en wir al­so froh, wenn wir mit IP­v6 NAT end­lich Le­be­wohl sa­gen kön­nen.

Und wer die To­po­lo­gie sei­nes Net­zes un­be­dingt ver­ste­cken will, dem ra­te ich zu ei­nem Proxy. Der kann dann auch gleich Ca­chen und Vi­ren fil­tern.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de